What is the EU Cyber Resilience Act (CRA)?

The EU Cyber Resilience Act (CRA), formally Regulation (EU) 2024/2847, is European legislation that establishes mandatory cybersecurity requirements for products with digital elements sold in the EU market. It requires manufacturers to implement security by design, provide security updates throughout the product lifecycle, maintain Software Bills of Materials (SBOMs), and report actively exploited vulnerabilities to ENISA within 24 hours.

When does the CRA come into effect?

The CRA entered into force on December 10, 2024. Vulnerability reporting obligations to ENISA begin on September 11, 2026. The main obligations (security requirements, SBOM, CE marking, technical documentation) apply from December 11, 2027. After this date, non-compliant products cannot be sold in the EU market.

What are the penalties for CRA non-compliance?

CRA non-compliance penalties can reach up to €15 million or 2.5% of global annual turnover for essential requirement violations, €10 million or 2% for other obligations, and €5 million or 1% for providing misleading information. Market surveillance authorities can also order product recalls and prohibit sales in the EU.

What tools help with CRA compliance?

CRA Evidence (craevidence.com) is a compliance platform built for the EU Cyber Resilience Act. It covers SBOM management (CycloneDX/SPDX), vulnerability scanning with EPSS prioritization, technical file generation, compliance dashboards, and incident management with ENISA notification support. It supports manufacturers, importers, and distributors from SBOM to audit.

What is an SBOM and why is it required for CRA?

A Software Bill of Materials (SBOM) is a formal, machine-readable inventory of software components and dependencies in a product. Under the CRA, manufacturers must create and maintain SBOMs in standardized formats like CycloneDX or SPDX (as specified in TR-03183). SBOMs enable vulnerability tracking, license compliance, and supply chain transparency, and must be retained for at least 10 years after the product is placed on the market.

Does the CRA apply to open source software?

Non-monetized, free and open source software developed outside commercial activity is generally exempt from the CRA. However, 'open source stewards' (organizations that systematically support commercial use of open source products) have lighter obligations including security policies and vulnerability handling. Commercial products that incorporate open source components must fully comply with CRA requirements.

What products are excluded from the CRA?

The CRA excludes: pure SaaS (Software-as-a-Service) with no physical or downloadable component, medical devices (covered by MDR), motor vehicles (covered by type-approval regulations), aviation products, marine equipment, and products developed exclusively for national security or defense purposes.

What documentation is required for CRA compliance?

CRA requires manufacturers to maintain: Software Bills of Materials (SBOM) in CycloneDX or SPDX format, cybersecurity risk assessments, EU Declaration of Conformity, user documentation for secure installation and operation, vulnerability handling policy with coordinated disclosure procedures, test reports (penetration tests, code reviews), and evidence of conformity assessment. Documentation must be retained for at least 10 years.

What is the difference between CRA and NIS2?

CRA (Cyber Resilience Act) focuses on product security and applies to manufacturers, importers, and distributors of products with digital elements. NIS2 (Network and Information Security Directive) focuses on organizational cybersecurity and applies to essential and important entities operating critical infrastructure. Many organizations may need to comply with both regulations, as CRA covers the products they sell while NIS2 covers their internal security operations.

How do I report vulnerabilities under the CRA?

From September 2026, manufacturers must report actively exploited vulnerabilities to ENISA and national CSIRTs following strict timelines: Early warning within 24 hours of becoming aware, detailed technical report within 72 hours, and final report within 14 days for vulnerabilities (or 1 month for severe incidents). CRA Evidence provides incident management tools to help meet these reporting obligations.

TL;DR - Snabb sammanfattning

EU:s Cyber Resilience Act (CRA) kräver att alla produkter med digitala element som säljs i EU uppfyller cybersäkerhetskraven senast december 2027. Viktiga skyldigheter inkluderar: underhåll av SBOM (Software Bills of Materials), rapportering av utnyttjade sårbarheter till ENISA inom 24 timmar (från september 2026) och bevarande av teknisk dokumentation i 10 år. Böter kan uppgå till 15 miljoner euro eller 2,5 % av den globala omsättningen. CRA Evidence hjälper tillverkare, importörer och distributörer att uppnå efterlevnad genom SBOM-hantering, sårbarhetsskanning och generering av tekniska filer.

Tillämpningen börjar december 2027

EU:s Cyber Resilience Act (CRA)

EU-förordning 2024/2847 fastställer cybersäkerhetskrav för produkter med digitala element. Här är vad du behöver veta.

Vad är Cyber Resilience Act?

CRA kräver att företag dokumenterar sin programvaruleveranskedja, övervakar sårbarheter under hela en produkts livscykel och bibehåller tekniska filer i 10 år. Det är mycket pappersarbete.

Publicerad som förordning (EU) 2024/2847 täcker den hårdvaru- och mjukvaruprodukter som säljs i EU: IoT-enheter, industriella styrsystem, fristående programvara och mer.

Förordningen kräver Software Bills of Materials (SBOMs), processer för sårbarhethantering, riskbedömningar och teknisk dokumentation. För hårdvaruprodukter krävs även HBOMs. VEX-dokument kommunicerar sårbarhetsstatus till nedströmsanvändare.

Officiell EU CRA-sida

Europeiska kommissionen

Fullständig förordningstext

EUR-Lex officiella tidning

Viktiga efterlevnadsfrister

11 september 2026

Sårbarheterapportering börjar

Tillverkare måste rapportera aktivt utnyttjade sårbarheter till ENISA och nationella myndigheter inom 24 timmar efter att de blivit medvetna. Detaljerade rapporter ska lämnas inom 72 timmar.

11 december 2027

Fullständig CRA-tillämpning

Alla produkter med digitala element måste uppfylla grundläggande cybersäkerhetskrav. Produkter som inte uppfyller kraven kan inte säljas på EU-marknaden.

Sanktioner vid bristande efterlevnad

CRA inför betydande ekonomiska sanktioner vid bristande efterlevnad. Marknadsövervakningsorgan kan också beordra produktåterkallelser och förbjuda försäljning på EU-marknaden.

€15M

eller 2,5 % av global omsättning

Grundläggande krav

€10M

eller 2 % av global omsättning

Övriga skyldigheter

€5M

eller 1 % av global omsättning

Vilseledande information

Produktklassificering

CRA kategoriserar produkter baserat på deras cybersäkerhetsrisknivå. Produkter med högre risk möter striktare bedömning av överensstämmelse-krav.

Kategori	Exempel	Bedömning av överensstämmelse
Standard	De flesta programvaruapplikationer, IoT-enheter, konsumentelektronik	Självbedömning tillåten
Viktig klass I	Identitetshantering, webbläsare, lösenordshanterare, VPN:er, nätverkshantering	Självbedömning om harmoniserade standarder används; annars tredjepartsbedömning
Viktig klass II	Hypervisorer, containerruntimes, brandväggar, intrångsdetektion, säkra element	Tredjepartsbedömning av överensstämmelse krävs
Kritisk	Hårdvarusäkerhetsmoduler, smartkortsläsare, säkra uppstartssystem	Strängaste krav (bilaga IV)

Dokumentationskrav (bilaga VII)

Tillverkare måste sammanställa och underhålla teknisk dokumentation som visar efterlevnad av grundläggande krav. Denna dokumentation måste bevaras i minst 10 år efter att produkten har placerats på marknaden.

Materialförteckningar (SBOM/HBOM)

SBOM:er som listar alla programvarukomponenter och beroenden. För hårdvaruprodukter listar HBOM:er hårdvarukomponenter. VEX-dokument kommunicerar sårbarhetsstatus. Måste följa CycloneDX- eller SPDX-standarder enligt TR-03183.

Riskbedömning

Cybersäkerhetsriskbedömning som täcker potentiella hot, sårbarheter och de åtgärder som vidtagits för att hantera dem.

EU-försäkran om överensstämmelse

En formell försäkran om att produkten uppfyller alla tillämpliga CRA-krav, undertecknad av en behörig representant.

Användardokumentation

Instruktioner för säker installation, drift och underhåll. Måste inkludera information om supportperioden och säkerhetsuppdateringar.

Policy för sårbarhetshantering

Dokumenterad process för att identifiera, spåra och åtgärda sårbarheter. Måste inkludera samordnade förfaranden för avslöjande.

Testrapporter

Bevis på säkerhetstestning, inklusive penetrationstester, kodgranskningar och verifiering av grundläggande krav.

ENISA-sårbarheterapportering

Från september 2026 måste tillverkare rapportera aktivt utnyttjade sårbarheter till ENISA (EU:s byrå för cybersäkerhet) och deras nationella CSIRT inom strikta tidsramar.

Underlåtenhet att rapportera inom de föreskrivna tidsramarna kan resultera i betydande sanktioner och skada på ryktet.

Inom 24 timmar

Tidig varning - Inledande meddelande om en aktivt utnyttjad sårbarhet eller allvarlig incident. Grundläggande information om hotet.

Inom 72 timmar

Detaljerad rapport - Tekniska detaljer, berörda produkter, allvarlighetsbedömning och initiala åtgärdssteg.

Inom 14 dagar

Slutrapport (Sårbarheter) - Fullständig analys, grundorsak, fullständig åtgärd och lärdomar.

Inom 1 månad

Slutrapport (Incidenter) - För allvarliga säkerhetsincidenter ska en slutrapport lämnas inom en månad.

CRA och EU:s maskindirektiv

Från januari 2027 kräver EU:s maskindirektiv (2023/1230) cybersäkerhetsbevis i din tekniska fil (bilaga III §1.1.9). Från december 2027 kräver CRA fullständig livscykelproduktssäkerhet. Båda förordningarna gäller för maskiner med PLC:er, HMI:er, inbyggda styrenheter eller nätverksanslutning.

CRA skäl 53 bekräftar att produkter som omfattas av maskindirektivet också måste efterleva CRA. CRA-efterlevnadsbevis kan tillgodose maskindirektivets cybersäkerhetskrav — om de är korrekt strukturerade.

Läs mer i vår guide för maskinbyggare

Hur CRA Evidence hjälper

CRA gäller på olika sätt beroende på din roll i leveranskedjan. CRA Evidence anpassar sig till var och en.

CRA-leveranskedjediagram med tillverkar-, importör- och distributörsroller

CRA-skyldigheter varierar beroende på roll i leveranskedjan

Tillverkare

Artikel 13 lägger de tyngsta skyldigheterna på dig: SBOMs, sårbarhetshantering, säkerhetsuppdateringar, teknisk dokumentation.

SBOM-validering (TR-03183)
Sårbarhetsövervakning
Export av teknisk fil
Försäkran om överensstämmelse

Importörer

Artikel 19 gör dig ansvarig för att verifiera tillverkarens efterlevnad innan du säljer i EU.

Verifieringschecklistor
Tillverkarspårning
Bevislagring
Revisionsspår

Distributörer

Skyldigheterna i artikel 20 är lättare: verifiera CE-märkning och hantera produkter som inte uppfyller kraven på rätt sätt.

Due diligence-checklistor
Leverantörsspårning
CE-verifiering
Incidenteskalering

Börja förbereda nu

December 2027 är närmare än det ser ut. Gör dina produkter och dokumentation redo.

Starta 14-dagars gratis provperiod Se funktioner

Se hur CRA Evidence hjälper med efterlevnad Läs de senaste CRA-efterlevnadsartiklarna